హాట్‌పేజ్ మాల్వేర్

సైబర్‌ సెక్యూరిటీ పరిశోధకులు ప్రకటనలు మరియు మోసపూరిత వెబ్‌సైట్‌లను నిరోధించడానికి దావా వేసే యాడ్‌వేర్ మాడ్యూల్‌ను కనుగొన్నారు. అయినప్పటికీ, ఇది రహస్యంగా ఒక కెర్నల్ డ్రైవర్ కాంపోనెంట్‌ను ఇన్‌స్టాల్ చేస్తుంది, ఇది విండోస్ సిస్టమ్‌లలో ఎలివేటెడ్ అనుమతులతో హ్యాకర్లు ఏకపక్ష కోడ్‌ని అమలు చేయడానికి అనుమతిస్తుంది. ఈ మాల్వేర్, HotPage అని పేరు పెట్టబడింది, దాని ఇన్‌స్టాలర్ ఫైల్ 'HotPage.exe' ద్వారా గుర్తించబడింది.

HotPage మాల్వేర్ ఎలా పని చేస్తుంది?

ఇన్‌స్టాలర్ బ్రౌజర్ నెట్‌వర్క్ ట్రాఫిక్‌ను అడ్డగించే మరియు మార్చే రెండు లైబ్రరీలతో పాటు రిమోట్ ప్రాసెస్‌లలో కోడ్‌ను ఇంజెక్ట్ చేయగల డ్రైవర్‌ను సెటప్ చేస్తుంది. ఈ మాల్వేర్ వెబ్ పేజీల కంటెంట్‌ను సవరించడం లేదా భర్తీ చేయడం, వినియోగదారులను వేర్వేరు పేజీలకు దారి మళ్లించడం లేదా నిర్దిష్ట షరతుల ఆధారంగా కొత్త ట్యాబ్‌లను తెరవడం చేయగలదు.

గేమ్-సంబంధిత ప్రకటనలను ప్రదర్శించడానికి దాని ట్రాఫిక్ అంతరాయాన్ని మరియు ఫిల్టరింగ్ ఫీచర్‌లను ఉపయోగించడంతో పాటు, మాల్వేర్ ఒక చైనీస్ కంపెనీ అయిన Hubei Dunwang Network Technology Co. Ltdకి లింక్ చేయబడిన రిమోట్ సర్వర్‌కు సిస్టమ్ సమాచారాన్ని సేకరించి, ప్రసారం చేయడానికి రూపొందించబడింది.

ఈ లైబ్రరీలను బ్రౌజర్ అప్లికేషన్‌లలోకి ఇంజెక్ట్ చేయడం, యాక్సెస్ చేయబడిన URLని మార్చడం లేదా కొత్త బ్రౌజర్ సెషన్‌ల హోమ్‌పేజీ దాని కాన్ఫిగరేషన్‌లో పేర్కొన్న URLకి మళ్లించబడిందని నిర్ధారించడం కోసం వాటి అమలు విధానాన్ని మార్చడం డ్రైవర్ యొక్క ప్రధాన విధి.

దాడి చేసేవారు సోకిన పరికరాలపై అత్యధిక స్థాయి అధికారాలను పొందగలరు

డ్రైవర్‌కు యాక్సెస్ కంట్రోల్ లిస్ట్‌లు (ACLలు) లేకపోవటం వలన నాన్-ప్రివిలేజ్డ్ ఖాతాతో దాడి చేసే వ్యక్తి దానిని ఎలివేటెడ్ ప్రివిలేజ్‌ల కోసం ఉపయోగించుకోవడానికి అనుమతిస్తుంది, కోడ్‌ను NT AUTHORITY\System ఖాతాగా అమలు చేయడానికి వీలు కల్పిస్తుంది.

ఈ కెర్నల్ కాంపోనెంట్ అనుకోకుండా విండోస్‌లో అత్యధిక అధికార స్థాయిని, సిస్టమ్ ఖాతాని సంభావ్య బెదిరింపులకు బహిర్గతం చేస్తుంది. సరిపోని యాక్సెస్ పరిమితుల కారణంగా, ఏదైనా ప్రక్రియ ఈ భాగంతో పరస్పర చర్య చేయవచ్చు మరియు అసురక్షిత ప్రక్రియలను లక్ష్యంగా చేసుకోవడానికి దాని కోడ్ ఇంజెక్షన్ సామర్థ్యాన్ని ఉపయోగించవచ్చు.

ఇన్‌స్టాలర్ యొక్క ఖచ్చితమైన పంపిణీ పద్ధతి అస్పష్టంగా ఉన్నప్పటికీ, ఇది ఇంటర్నెట్ కేఫ్‌ల కోసం భద్రతా పరిష్కారంగా మార్కెట్ చేయబడిందని సూచించే ఆధారాలు ఉన్నాయి, ప్రకటనలను నిరోధించడం ద్వారా బ్రౌజింగ్ అనుభవాన్ని మెరుగుపరుస్తుంది.

HotPage మాల్వేర్ సంతకం చేసిన సర్టిఫికేట్‌ను దోపిడీ చేస్తుంది

మైక్రోసాఫ్ట్ సంతకం చేసినందున ఈ మాల్వేర్ యొక్క ఎంబెడెడ్ డ్రైవర్ ప్రత్యేకంగా గుర్తించదగినది. దీని వెనుక ఉన్న చైనీస్ కంపెనీ మైక్రోసాఫ్ట్ యొక్క డ్రైవర్ కోడ్ సంతకం అవసరాలను తీర్చిందని మరియు ఎక్స్‌టెండెడ్ వెరిఫికేషన్ (EV) సర్టిఫికేట్‌ను పొందిందని నమ్ముతారు. అయినప్పటికీ, మే 1, 2024 నాటికి Windows సర్వర్ కేటలాగ్ నుండి డ్రైవర్ తీసివేయబడింది.

భద్రతా నియంత్రణలను బలహీనపరిచే మరియు సిస్టమ్ ప్రాసెస్‌లకు అంతరాయం కలిగించే మోసపూరిత డ్రైవర్‌ల నుండి రక్షించడానికి విండోస్‌కు కెర్నల్-మోడ్ డ్రైవర్‌లు కీలకమైన భద్రతా చర్యగా డిజిటల్‌గా సంతకం చేయవలసి ఉంటుంది.

అయినప్పటికీ, స్థానిక చైనీస్ మాట్లాడే ముప్పు నటులు కెర్నల్-మోడ్ డ్రైవర్లపై సంతకాలను నకిలీ చేయడానికి మైక్రోసాఫ్ట్ విండోస్ విధానంలోని లొసుగును ఉపయోగించుకుంటున్నారని సైబర్ సెక్యూరిటీ నిపుణులు కనుగొన్నారు. HotPage యొక్క విశ్లేషణ, మాల్వేర్ యొక్క సాపేక్షంగా సాధారణ భాగం వలె కనిపిస్తుంది, యాడ్‌వేర్ డెవలపర్‌లు తమ లక్ష్యాలను సాధించడానికి చాలా వరకు వెళుతున్నారని నిరూపిస్తుంది.